スーパー ユーザーは、無効にするルート
1. 検出:
/Passwd パスワード ファイル、ファイル形式を表示するのには以下のとおりです。
login_name:password:user_ID:group_ID:comment:home_dir:command
場合 user_ID = 0 の場合、スーパー ユーザー特権を持つユーザー。 チェックここで複数の ID がある場合 = 0
2. コマンドの検出:
/etc/passwd の猫 | awk-f ‘:’ ‘{print$ 1、$3}’ | grep ‘ 0$ ‘
3. バックアップ方法:
cp-p/etc/passwd/etc/passwd_bak
4. 補強方法。
コマンド < ユーザー名 > ロック不要なスーパー アカウントを使用します。
スーパーのアカウントを回復する必要がありますロック解除コマンド < ユーザー名 > を使用
または/sbin/あるユーザのシェル
第二に、不要なアカウントを削除します。
1. あなたはすべての既定のオペレーティング システムが起動し、不要なアカウントを削除する必要があります、Linux 提供します既定のアカウントおよびアカウントの数より多くのシステムが攻撃を受けやすくなります。
2. よう、ユーザーを削除するのには
ADM、LP、同期、シャット ダウン、停止、ニュース、UUCP、演算子, ゲーム, リス
3. など、グループを削除するには
ADM、LP は、ニュースでは、UUCP、ゲーム、ディップ、pppusers、popusers、slipusers
4. コマンドを削除します。
userdel ユーザー名
groupdel グループ名
第三に、ユーザー パスワードの設定
ユーザー パスワードは、Linux/UNIX のセキュリティのための基本的な出発点、ユーザーのパスワードを使用している人々 の多くはあまりに単純な理論、十分な時間がある限りではあるが、ドアを開けた侵入者を与えるし、リソースを使用することができます、ユーザーのパスワードを解決しないが、よく選択したパスワードは、断ち切ることは困難です。 良いパスワードは、だけ簡単に覚えていると理解し、必要に応じて、パスワードを記録することをお勧め、またパスワードのファイル、またはファイルの暗号化を記録する世話を彼自身の文字の文字列です。
パスワード生産環境要件: 大文字、小文字、数字、および特殊文字は、3 つ、4 つが含まれているパスワードの全体の長さが 10 より大きい場合、各サーバーのパスワードが同じではありません。
4、null パスワード アカウントの確認
参加を強制するパスワードのニーズが仕様を満たす任意のアカウントのパスワードが空白場合は、
メソッドを確認します。
#awk-f: ‘ ($2 = =””) {$1 を印刷}’/etc/シャドウ
5、ファイルのパスワード ロック
Chattr コマンド ファイルと、次のプロパティを変更できません、それにより防止する権限のないユーザーが特権を獲得します。
#chattr + i/etc/passwd
#chattr + i/等/シャドウ
#chattr + i/etc/グループ
#chattr + i/etc/gshadow
6 時間の制限は、自動的にログオフ ルート アカウントを設定します。
ブート ファイル/etc/プロファイル、TMOUT パラメーターで TMOUT パラメーターを秒で計算環境を変更します。
vim/等/プロファイル
“HISTFILESIZE =”、次の行を挿入
TMOUT = 300
この設定を変更した後する必要があります最初ログオフするユーザーは、この機能を有効にするために、ユーザーのログイン
ユーザー ディレクトリ内のユーザーを変更する場合の自動ログアウトの時間制限」. bashrc ファイル”特別なユーザーの自動ログアウト時間のシステムの値を追加するファイル
Su コマンドを制限 7
誰も禁止している su ルート、edit/etc/pam.d/su ファイルに切り替えるには、次の行を追加。
authrequired pam_wheel.so use_uid
この時点でのみホイールのユーザーのグループ su root として。 その後、管理者は root に Su することができるようにする場合、次のコマンドを実行することができます。
#usermod-G 10 管理者
8 は、平均的なユーザーを制限することは、シャット ダウンを実行できません、再起動し、ネットワークおよびその他の機密性の高い操作を構成します。
The/etc/security/console.apps の停止、再起動、電源の下を削除、通常のユーザーを防ぐためにアクセス制御ファイルなどのシャット ダウン手順を実行コマンド
構成ファイルすることができますすべては全体として under/etc/security/console.apps を削除
rm-高周波/etc/security/console.apps/*
Ctrl キーを無効にする、9 + alt キーを押しながら DEL キーの組み合わせマシン コマンドを再起動するには
/Etc/inittab ファイルを変更”CA::ctrlaltdel:/sbin/シャット ダウン-T3-RNOW”行はコメント アウト。
スタートアップ サービス フォルダーのアクセス許可を設定、10
/Etc/rc.d/init.d/directory は、このディレクトリのファイルの下のすべてのファイルにアクセス許可を設定
起動時に、次のコマンドを実行します。
#chmod – R 700/etc/rc.d/init.d/
だから唯一のルートすることができます読み取り、書き込み、またはすべてのスクリプト ファイルを実行します。
第三に、システム ログイン名とバージョン情報を表示を避ける
削除されたファイル:
rm-高周波/etc/問題
rm-高周波/etc/issue.net
ネットワーク アクセスを制限する章 II
、NFS アクセス
/Etc/輸出が手段を使用しない最も制限の厳しいアクセス許可の設定を持っていることを確認してください NFS ネットワーク ファイル システム サービスを使用して任意のワイルドカード root 権限を許可しないと読み取り専用のファイル ・ システムにのみインストールできます。 ファイル/etc/輸出を編集し、次の 2 行を追加します。
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/Dir/に/エクスポートは、host.mydomain.com、このディレクトリのマシン名を出力するディレクトリを ro マウント読み取り専用システム、用いれば禁止ルート ディレクトリに書き込むことを意味します。 変更を反映するため、次のコマンドを実行します。
#/usr/sbin/exportfs-a
第二に、端末の設定へのをログオンします。
/Etc/securetty ファイル TTY デバイスを root ログインを指定すると、許可する/bin/ログイン プログラムによって読み取り、形式は編集/etc/securetty をすることができ、次の行をコメント アウト、許可されている名のリスト。
#tty2
#tty3
#tty4
#tty5
#tty6
この時、ルートは tty1 ターミナル ログオン時に利用のみです。
章 III 防止攻撃
IP 偽装を防ぐ
Host.conf ファイルを編集し、IP スプーフィング攻撃を防ぐために次の行を追加します。
ホスト orderbind
multioff
nospoofon
第二に、DoS 攻撃を防止します。
すべてのシステムのリソース制限を設定するユーザーは、DoS 攻撃のタイプを防ぐことができます。 などのプロセスとメモリ使用量の最大数。 たとえば、次の行の to/etc/security/limits.conf を追加します。
* hardcore0
* hardrss5000
* hardnproc20
The/etc/pam.d/login ファイルを編集する必要がありますし、次の行が存在することを確認します。
sessionrequired/lib/security/pam_limits.so
デバッグ ファイル コマンドは、上限は 50 と 5 MB のプロセスによって使用されるメモリの制限。
Leave a Reply